如果安全團(tuán)隊不知道何為安全最佳實踐，企業(yè)損失人力物力財力不過是時間問題。而且一旦發(fā)生安全事件，還有可能損及客戶，造成需要花費數(shù)年時間才能彌補(bǔ)過來的業(yè)務(wù)損失或賠償。

[[220837]]

至于醫(yī)療信息安全領(lǐng)域，可以嘗試的安全方法多種多樣。但無論你采用哪種實現(xiàn)方式，總有些結(jié)果不是你所預(yù)期的。于是，問題來了：醫(yī)療信息安全最佳操作有哪些?

一、技術(shù)層面看

培訓(xùn)，培訓(xùn)，再培訓(xùn)。確保員工熟知最新威脅是“全民皆兵”的極佳方式，可以讓每一名員工都成為公司的“眼睛和耳朵”。通過信息安全培訓(xùn)，也可以讓員工了解自身與公司是共擔(dān)風(fēng)險的。

1. 域訪問權(quán)限

不是每個人都需要域訪問權(quán)限。事實上，職位高低與域訪問權(quán)無甚關(guān)系。董事長或CEO掌握域控口令甚至更糟，因為高管本身就是黑客的主要目標(biāo)。

2. 自帶設(shè)備辦公(BYOD)

如果公司允許自帶設(shè)備辦公(BYOD)，那就部署移動設(shè)備管理(MDM)解決方案，管控員工訪問受保護(hù)健康信息(PHI)和個人可識別信息(PII)的會話。MDM中應(yīng)特別注意開發(fā)者模式是否被禁用，若禁用該模式，MDM工具所提供的服務(wù)就無效了。

3. 殺毒軟件(AV)

做安全要走心，僅僅對著列表劃勾的敷衍態(tài)度做不好安全。要確保所有AV都配置正確，運行良好，病毒庫和規(guī)則保持更新。

4. 做好變更管理與跟蹤

無論是大企業(yè)還是小公司，都需要變更管理，即便只是用一張Excel電子表格來管。公司越小，越需要知道應(yīng)該回滾到哪里。對大公司而言，則需要有足夠的跟蹤、監(jiān)視、核查與平衡，以便將變更管理有效集成進(jìn)公司運營中。

二、文化層面看

1. 別太自負(fù)

歷史已無數(shù)次證明，總有些專家覺得自己知道一切。但最終，人總得與他人合作，友好合作。太自負(fù)不利于協(xié)作，最好完全摒棄這種高傲的態(tài)度，為項目、公司或工作職責(zé)貢獻(xiàn)出你的價值。

2. 安全域的存在是有理由的

安全域的叫法或許多種多樣，但其存在是有理由的。必須將之視為安全底線來遵守。你可以不喜歡安全域，但它就在那里，合理存在著。

3. 盡量透明

沒錯，信息安全中有些領(lǐng)域就是要保密的。但是，如果每個人都清楚各自在做的事和做事的方式，那業(yè)務(wù)推進(jìn)就會更快更平滑。近期的項目中出現(xiàn)過員工出于工作安全考慮而秘藏信息的現(xiàn)象，但這是錯誤的做法。讓整個團(tuán)隊或公司知道當(dāng)前項目的進(jìn)展可以播下信任與尊重的種子。

4. 清楚醫(yī)療法規(guī)

不僅要知道業(yè)務(wù)范圍，還要知道本行業(yè)應(yīng)遵從的各項法規(guī)。法律就是法律，連同相關(guān)規(guī)定、規(guī)則和指導(dǎo)原則都要知道。

最后，以上建議請根據(jù)自身業(yè)務(wù)及業(yè)務(wù)需求斟酌采納。